Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ログイベント拡張フォーマット(LEEF)

ログイベント拡張フォーマット(LEEF)は、JSA用にカスタマイズされたイベントフォーマットです。

すべてのベンダーがこのドキュメントを使用して LEEF イベントを生成できます。

JSAは、LEEFイベントを統合、識別、処理することができます。LEEF イベントでは、UTF-8 文字エンコードを使用する必要があります。

LEEF 出力のイベントは、次のプロトコルを使用して送信できます。

  • Syslog

  • ログファイルプロトコルを使用したファイルのインポート

メモ:

JSA で LEEF イベントを使用するには、その前にユニバーサル LEEF 構成タスクを実行する必要があります。ユニバーサルLEEFイベントを収集するためのログファイルプロトコルの設定の詳細については、 ジュニパーセキュアアナリティクスDSMの設定ガイドを参照してください。

LEEF イベントを提供するために選択した方法によって、JSA でイベントを自動的に検出できるかどうかが決まります。イベントが自動的に検出されると、JSA で必要な手動構成のレベルが下がります。

LEEF イベントを受信すると、JSA はイベントトラフィックを分析して、デバイスまたはアプライアンスを識別します。このプロセスは 、トラフィック分析と呼ばれます。通常、JSA で新しいログ・ソースを識別して作成するには、少なくとも 25 の LEEF イベントが必要です。トラフィック分析によってイベント ソースが特定されるまで、最初の 25 個のイベントは SIM 汎用ログ DSM イベントとして分類され、イベント名は [不明なログ イベント] に設定されます。イベント・トラフィックが識別されると、JSAはログ・ソースを作成して、アプライアンスまたはソフトウェアから転送されるイベントを適切に分類し、ラベルを付けます。デバイスから送信されたイベントは、JSAの「 ログアクティビティ 」タブで確認できます。

メモ:

1,000 イベント経過してもログ・ソースを識別できない場合、JSA はシステム通知を作成し、そのログ・ソースをトラフィック分析キューから削除します。JSA は引き続きイベントを収集できますが、イベント・タイプを識別するには、ユーザーが介入してログ・ソースを手動で作成する必要があります。

関連ドキュメント